Netflixチームがセキュリティイベントを自動分析するオープンソースシステム、FIDOをリリースした。
FIDO Allianceと混同しないように。Netflixのプラットフォームは「Fully Integrated Defense Operation」を略したものだ。このプラットフォームのGithubでは、FIDOを「マルウェアに対して評価、判断、対応することで、インシデントレスポンスプロセスを自動化するのに使うオーケストレーションレイヤ」だと説明している。
FIDOの主たる目的は、昨今のセキュリティ攻撃による脅威と生成される大量のアラートを評価するのに必要な手作業をうまく処理することだ。
既存のセキュリティツールをもっと効率良く、効果的に活用するために、FIDOは「ネットワーク攻撃に対する検出、通知、対応の手作業」が減るよう設計されている。
Netflixは次のように述べている。
FIDOのアイデアは、何年も前の簡単な概念実証から生まれました。私たちはネットワークベースのマルウェアシステムからやってくるアラートを処理するのに、ヘルプデスクチケットを作成し、フォローアップ(通常、影響を受けたシステムのスキャンやハードディスクの復旧など)のためにデスクトップエンジニアに割り当てていました。
アラート発生からチケット解決までの時間は、数日から一週間以上もかかっていました。ヘルプデスクシステムにはAPIがあったため、私たちは、アラートからチケット処理までを自動化することで解決までの時間を削減できるだろう、と仮説を立てました。そこでアラートを取り込んでチケットをオープンするという単純なシステムを構築したところ、解決までの時間は数時間にまで削減できたのです。私たちは良いところに気付いたと思いました。こうして、FIDOが生まれました。
Netflixは次のようなアーキテクチャ図を示している。
FIDOの動作は、ディテクターからイベントを受信することから始まる。FIDOのディレクターは悪意のある行動や脅威を特定すると、さらなる解析のためにアラートを生成する。FIDOは生のイベントデータを補助情報およびコンテキストで補いながら、さらに詳細に調べる。
FIDOは内部の様々なデータソースに問い合わせて、脅威と必要なアクションに関するデータを収集する。現在のところ、Active Directory、LANDesk、JAMFをサポートしている。またFIDOは外部の脅威フィードを調べて、問題がどれくらい深刻であるか評価し、誤検出を除外する。
収集されたデータはFIDOによって関連付けられ、スコアが付けられる。スコアの付け方は、このプラットフォームを使用する組織によってカスタマイズが可能だ。最終的に、FIDOは適切な次のアクションを決定する。アクションはメールをセキュリティチームに送ることから、ネットワークポートを無効にすることまで、多岐にわたる。
Netflixのクラウドセキュリティ担当エンジニアリングディレクタであるJason Chan氏は、Redditの「Netflix introduces FIDO, an Automated Security Incident Response tool」というディスカッションで、プラットフォームに関する質問に答えている。
質問 「カスタムフレームワークではなく既成のソフトウェアでもできたのでは?」Chan氏はこう回答する。
はい、確かに一部はそうです。'automated threat response' や 'security orchestration'と謳われている製品がありますね。
...ベンダーはあらゆる/たくさんの顧客の問題を解決しようとしています。 -- 私たちが関心を持っているのは、その小さなサブセットです。私は90年代後半から複数のセキュリティ企業でセキュリティにたずさわり、製品ロードマップとサポートがどうなっているかよく知っています。私は自分たちのコアセキュリティプロセス/ケーパビリティがどこかのベンダーに依存していないか注意しています。
FIDOはOSSであり、Netflixはコミュニティからの提案や貢献を歓迎している。